ファイル暗号化ソフト「アタッシェケース」に新たな脆弱性、修正版v3.4.0.0が公開

「アタッシェケース#3」

　ファイル暗号化ソフト「アタッシェケース#3」の最新版v3.4.0.0が、8月30日に公開された。今回のアップデートでは、前バージョンで行われたディレクトリトラバーサルの脆弱性の修正が不十分だったとして、追加の対策が施された。また、新に発見された脆弱性の修正が行われている。

　作者によると、前バージョンでは正規表現を利用して不正な文字列をチェックする方式をとっていたが、本バージョンでは復号時に一旦ファイルパスの正規化を行い、ユーザーが意図する正しい保存先であるかどうかをチェックする方式に改めているという。なお、悪意ある第三者が脆弱性を仕込むためのアプリケーションを開発し、攻撃ファイルを生成する必要があることから悪用の恐れは比較的低いとのこと。

　一方、新に発見された脆弱性は“JVN”の脆弱性レポート（JVN#02037158）によると、「アタッシェケース」には独自ファイル形式“ATC”を復号する際に任意のスクリプトを実行可能になる脆弱性が存在するという。ただし、攻撃が可能となるのは当該のATCファイルと同じフォルダー内に細工された動作設定ファイル“_AtcCase.ini”が存在する場合に限られる。深刻度は“CVSS v3”で基本値“7.8”、“CVSS v2”で基本値“6.8”で、「アタッシェケース」v3.3.0.0およびそれ以前（CVE-2018-0674）、v2.8.4.0およびそれ以前（CVE-2018-0675）に影響する。最新版では、動作設定ファイルが読み込まれるときに確認ダイアログを出し、注意を促すように修正されている。

　「アタッシェケース」は、オープンソースのファイル暗号化ソフト。ファイルのドラッグ＆ドロップですばやく暗号化できる手軽さが魅力で、このジャンルの定番として多くのユーザーに愛用されている。Windows XP/Vista/7/8/10に対応しており、作者のWebサイトから無償でダウンロードできる。

編集部注：8月31日現在、「ノートン セキュリティ」が「アタッシェケース#3」v3.4.0.0のインストーラーのダウンロード時に削除する現象を確認しております。そのため、窓の杜ライブラリの更新を見合わせるとともに、シマンテック社に問い合わせ中です。誤検知であることが確認でき次第、更新を再開する予定です。